目前分類:資料整理 (2)

瀏覽方式: 標題列表 簡短摘要
其實這文章好早就想寫了,但其實網路上也頗多相關類型的文章,於是遲遲沒有下筆。
這次因為辦公室同仁實對於隨身碟病毒有越來越恐懼的趨勢,於是決定發文解釋一下,使其能更清楚。

固定來一行關鍵字:隨身碟、隨身碟病毒、USB、USB病毒、清除、檢測、預防、safe_usb、auto killer、kavo killer
Word圖文版http://www.scribd.com/doc/10110576/




檢測

先來說一下如何檢測,最常見偵測自身電腦是否有隨身碟系列病毒(包含C、D槽也會被傳染),一般來說有下列幾種

開啟各槽時無法點兩下開啟,也就是會出現 選擇開啟檔案類型 時。

開啟任何槽都是跳新視窗,一般來說XP預設:當點選我的電腦的任一槽時,都會在同一個視窗內開啟,若開啟該槽為跳新的視窗,則有極大機率中毒。

無法顯示隱藏檔
開啟我的電腦 / 工具 / 資料夾選項 / 檢視
當 顯示所有檔案與資料夾 無法勾選,或勾選並套用以後又恢復到 不顯示隱藏的檔案和資料夾,即是被病毒更改而導致無法修改。

只要有上述情況,有極高機率是電腦已經中了隨身碟毒囉。

※補充,若即時通無法登入,有一點機率跟隨身碟系列病毒有關連。
 



隨身碟病毒運作模式

如何預防隨身碟病毒呢?若是在公共電腦使用,最好先用上面檢測的方式檢查是否有中毒跡象,若有中毒跡象時,則插入隨身碟有極高機率被寫入。

但,別擔心,被寫入以後只要不觸發病毒即可。

大家耳熟能詳的kavo,就是紅極一時的隨身碟病毒,現在也仍然持續流傳著。而如何不觸發病毒呢? 現在先簡述一下隨身碟病毒的運作模式

已中毒端電腦
當隨身碟一插入即將病毒寫入,也將autorun.inf檔案寫入,企圖使該隨身碟有傳染力(也就是開啟隨身碟時使病毒運行,進而寫入電腦)。

已中毒隨身碟
當隨身碟一插入,什麼事都沒有。但只要從我的電腦點兩下隨身碟進入,或從自動運行開啟隨身碟,該電腦就中毒了。
靠的是autorun.inf檔的運行,當點入以後就觸發執行病毒,而病毒也就寫入該電腦囉。

現在應該知道隨身碟病毒靠的是觸發,也就是autorun.inf檔。只要被寫入此檔案,當每天例行開啟的各硬碟槽就會再次將毒執行,也因為隨身碟的流通,故現在幾乎每台電腦都有這病毒。


下面從預防簡單介紹幾個技巧,將可使中毒機率降低。



預防

一般來說,預防最根本也最實用的方式,就是不要觸發autorun.inf,也就不會運行病毒,當然電腦也就不會被被感染囉。

如何使之不觸發呢?這邊要跟大家講一個現在隨身碟當道,必要的小習慣。

不直接開啟各硬碟槽
在公共場合或公共電腦使用時,開啟我的電腦要進入任何槽時,請不要用點兩下的方式開啟,也不要用點右鍵開啟檔案的方式開啟。(雖然autorun.inf並無法點右鍵執行,但能增加右鍵選單,故還是不要點右鍵開啟比較安全)

這樣如何開啟各硬碟槽呢?
從檔案總管(開始+E or 附屬應用程式下),從左邊樹狀目錄的+號開啟
※個人仍覺得單點開啟根目錄可能也有危險,且需要多一個開啟檔案總管的方式,較為麻煩,我都採用下列方式。

從網址列右方的倒三角開啟
也就是從一般我的電腦開啟列以後的網址列,最右邊的▼(倒三角開啟),若沒有網址列,可以從 檢視 / 工具列 / 網址 將其開啟。若開啟以後在網址擠在最右邊,可以將 工具列 內的 鎖定工具列 取消勾選,就可以將網址列拖出來囉。

而此方式因為簡單且不需要多開啟檔案總管的步驟,個人已經養成開啟公共電腦的硬碟槽習慣囉。
只要不要開啟讓autorun.inf觸發,就算病毒已經存在於隨身碟,仍是安全的。


常駐軟體阻擋
SafeUSB_cht,目前試過此套軟體,感覺還蠻不錯的。
此套軟體只要隨身碟一插入就偵測,平常可以常駐,建議共用、家用電腦裝上此軟體以達最簡單的防護效果。


建立Autorun.inf資料夾
這個原理是將病毒欲產生Autorun.inf檔案時,因為與資料名稱衝突,將無法建立,而不能建立後,就算病毒被複製到了隨身碟後也會因為無法觸發執行而不產生任何效果,也就是不會中毒。
隨身碟系列病毒靠的就是autorun.inf在傳染以及運行,當autorun.inf被阻擋建立後,也就不會觸發點兩下執行或自動執行病毒檔的動作,當然也就不會中毒啦。
只要在電腦任何一個槽底下建立一個資料夾,將其重新命名為autorun.inf即可,簡單方便。




掃毒、清除

手工掃毒
只要不要纏入系統,隨身碟病毒只需要像刪除檔案一般,就可輕鬆將病毒刪除囉。
步驟如下:

Step1.

開啟我的電腦 / 工具 / 資料夾選項 / 檢視


  • 隱藏保護的作業系統檔案(建議使用)取消勾選
  • 隱藏檔案和資料夾 選擇 顯示所有檔案和資料夾
  • 顯示系統資料夾的內容 勾選
 

Step2.
若電腦可以看到隱藏檔案,則先將根目錄的autorun.inf檔案刪除,刪除以後接下來判斷是否為病毒。
除了C槽的NTDETECT.COM 檔案為預設系統的檔案以外,其他com、exe可以說幾乎都是毒。尤其C槽外的任何槽,只要看到是隱藏檔(也就是半透明的圖示),且副檔名為exe或com的檔案,可以直接刪除,不用擔心勿刪。
(有多少軟體會安裝後出現在非系統槽而且又隱藏起來?起碼我還沒碰過)

另外有些病毒會複製到RECYCLER資料夾內,記得點入檢查是否為病毒,若為資源回收桶圖案則為正常。
正常的→   點入以後會進入資源回收桶。
有毒的→   可以看到隱藏的執行檔 。


再來就是檔案名稱沒有任何規則可言,像是2go30q、r9ghv9這種英文數字混雜,可是又沒有意義的檔案也可以直接刪除。
若無法判斷是否為病毒,建議將檔案名稱包括副檔名拿去google搜尋一下,就可以知道囉。

常見的病毒名稱:
kavo.exe、kava.exe、tasa.exe、u.exe、INFO.exe、inf0.exe、taso.exe、IO.exe


軟體掃毒
因為隨身病毒日新月異,一般防毒軟體其實不容易將其刪除乾淨,這邊推薦書維的部落格的kavo killer
隨身碟系列的病毒就請交給它處理。
只要做好預防動作,養成不要直接開啟隨身碟槽的習慣(用網址列右邊倒三角開啟),並且安裝SafeUSB ,偶而將隱藏檔案顯示並檢查看看,基本上就不用擔心電腦會中隨身碟系列的病毒囉。




總結

隨身碟病毒比一般病毒來的容易清除,畢竟它們是有著固定的運作模式,而這運作模式是我們可以將其繞過。
中了隨身碟病毒,基本上靠kavo_killer系列的都能夠將其清除乾淨。配合safe_usb的防護,autorun.inf資料夾的觸發防止,最後加上看倌們需得養成的公用電腦習慣,基本上就能將隨身碟病毒中毒機率降為最低囉。

若各位看倌覺得有用,請將這些技巧傳授給親朋好友。
一台電腦沒毒,兩台電腦沒毒,週遭的人電腦環境越乾淨,資料的流遞間當然也就越安全囉。

以上

※放於個人google page creator的資料載點:kavo killersafe_USB (於2009/1/12)
※kavo killer會被avast誤判,所以請avast防毒用戶不用擔心。

ezcshi 發表在 痞客邦 留言(2) 人氣()


以下段落內容從 http://www.cmdos.net/article/sort01/info-1420.html 轉貼,並將其用語稍微修改。



我們已經知道可以利用Aurorun.inf來指定光碟自動加載的圖示和執行的文件,其實Autorun.inf的用處可大了,下面就向大家詳細介紹有關Autorun.inf的應用。

瞭解Autorun.inf
什麼是Autorun.inf文件呢,嚴格的說它是一個必須存放在驅動器根目錄下的有一定格式的文本文件,它是由一個或多個「節」組成,每個「節」民須以節名作為開始的一行,節名必須用中括號[]括起來,節名之下則為本節中的命令。

其中Autorun.inf一共支持三個節,它們分雖為[autorun]、[autorun.alpha]、[Deviceinstall],其中只有[autorun]是必須存在的。

實例應用
現在我們就來以實例的方式來詳細瞭解Autorun.inf文件到底有哪些慶用。

(1)自動執行
自動執行在前文有所接觸,即使用Open命令進行,要注意的是「Open=」指定的文件必須為可執行文件,例如com、exe、bat;如果指定的文件不在根目錄下,則需要指定其路徑,例如Open=soft.bat,這就表示執行光碟根目錄下soft文件夾中的1.bat文件。

小提示:如果要執行的文件不是com、exe、bat,那麼也沒關係,我們可以自行編寫一個bat文件,將要打開的文件所在路徑和文件名增在bat之中即可。

(2)自定義光碟圖示
在Autorun節中,還有一個比較好玩的命令行,那就是icon,一般情況下指定的圖示文件可以是ico和bmp格式,當然也可以是包含圖示資源的 exe和dll文件,如果exe和dll文件中包含多個圖示文件,那麼就必須指定希望使用的圖示索引號,要注意的是圖示索引號是從0開始編號的,例如「icon=icon.dll,1」,那麼就表示將使用icon.dll文件中的第二個圖示。

小提示:icon不僅可以應用在光碟上,我們也可以將該命令編寫進autorun.inf文件放置在硬碟根目錄自定義硬碟的圖示。

(3)自定義卷標
雖然說光碟燒錄軟體中一般都可以設置光碟捲標,但是如果要批量刻錄的話,那就會顯的很麻煩,不如使用命令定義的快捷。

定義卷標是利用Label命令來完成的,它的語法和Open、Icon是一樣的,在這裡不再多述。

(4)增加右鍵選單
當我們右擊燒錄的光碟時,經常會在右鍵選單中發現一個自動播放的選項,其實這主要是利用Autorun.inf中的Open命令來達成的,其實我們還可以根據需要添加其它選單命令。

添加其它選單命令的格式是「Shell<選單命令名>Command=<要執行的文件>」,例如我們編寫了一個文件內容如下:
[autorun]

shell打開記事本command=notepad.exe

這樣當我們將該文件刻錄進光碟時,右擊光碟時在彈出選單中就會有一個「打開記事本」的命令了。

(5)改變缺省操作
一般情況下應用autorun.inf的光碟雙擊缺省操作大多是自動播放,即執行open後面的文件操作。其實我們也可以改變這種情況,而這同樣是利用shell命令來完成。

我們先來看一個典型雙擊安裝軟件的示例:
[autorun]
shellsetupcommand=softsetup.exe
shelleadme=安裝軟件
shell=setup

要看懂這段語句,我們可以從下向上看,當我們雙擊光碟時,將調用最後一句Shell=setup,因為設置了該句,那麼雙擊時將查找對應 Shellsetupcommand後面指定的命令來作為預設操作,因此預設的操作將變成執行光碟根目錄下的soft文件夾中的setup.exe文件。

在這裡主要介紹的是autorun節內容的應用,而對於autorun.alpha來說我們很少用到,而Deviceinstall只能在WindowsXP下使用,可以利用它指定硬件嚮導進行遞歸搜索的子目錄。

理論基礎
經常使用光碟的朋友都知道,有很多光碟放入光驅就會自動執行,它們是怎麼做的呢?光碟一放入光驅就會自動被執行,主要依靠兩個文件,一是光碟上的 AutoRun.inf文件,另一個是操作系統本身的系統文件之一的Cdvsd.vxd。Cdvsd.vxd會隨時偵測光驅中是否有放入光碟的動作,如果有的話,便開始尋找光碟根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執行它裡面的預設程序。

AutoRun.inf不光能讓光碟自動執行程序,也能讓硬碟自動執行程序,方法很簡單,先打開記事本,然後用滑鼠右鍵點擊該文件,在彈出選單中選擇「重命名」,將其改名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:

[AutoRun]//表示AutoRun部分開始,必須輸入
Icon=C:\C.ico//給C盤一個個性化的盤符圖示C.ico
Open=C:\1.exe//指定要執行程序的路徑和名稱,在此為C盤下的1.exe

保存該文件,按F5刷新桌面,再看「我的電腦」中的該盤符(在此為C盤),你會發現它的磁盤圖示變了,雙擊進入C盤,還會自動播放C盤下的1.exe文件!

解釋一下:「[AutoRun]」行是必須的固定格式,「Icon」行對應的是圖示文件,「C:\C.ico」為圖示文件路徑和文件名,你在輸入時可以將它改為你的圖片文件所在路徑和文件名。另外,「.ico」為圖示文件的擴展名,如果你手頭上沒有這類文件,可以用看圖軟件ACDSee將其他格式的軟件轉換為ico格式,或者找到一個副檔名為BMP的文件,將它直接改名為ICO文件即可。

「Open」行指定要自動執行的文件及其盤符和路徑。要特別說明的是,如果你要改變的硬碟跟目錄下沒有自動播放文件,就應該把「OPEN」行刪掉,否則就會因為找不到自動播放文件而打不開硬碟,此時只能用滑鼠右鍵單擊盤符在彈出選單中選「打開」才行。



以下從 http://design.mobilia.com.tw/phpbb/viewtopic.php?p=108&sid=5338be00f426d8c91b3b69a8e7c9e9a9 轉貼

自動執行檔﹙Autorun.inf﹚的寫法
什麼是 「Autorun.inf」 檔?
當您希望使用者將光碟片一放進光碟機,即能自動播放您想要的頁面或開啟某個檔案時。
(指一般 CD-Title,而非 VCD 或相片光碟)
需於光碟根目錄下,有 「Autorun.inf」 檔,於該檔中指定開啟 (open) 某執行檔 (.exe) 或檔案。
檔名需為 Autorun.inf (Win 系統大小寫均可)

【狀況一】要開啟的檔案是一般執行檔,不是網頁時

[autorun]
open=檔名.exe
icon=檔名.ico


註:(1) "autorun.inf」 為純文字檔,可用 "記事本" 編寫。
  (2) 將 "autorun.inf」 與執行檔 (.exe) 同置根目錄層。
    (如果 exe 檔不在根目錄,請依相對路徑寫法,指向它)
  (3) 執行檔 (.exe) 的來源可能是多媒體整合軟體包裝後的檔案
(1) Flash、(2) Director、(3) Authorware、
(4) 一般(未特別設計圖示者)、(5) 自行設計圖示者

  (4) 圖示(icon)附檔名為 .ico
  (5) 未指定圖示(icon)時, 則依作業系統預設值,例如:
  (6) 圖示製作軟體
    擬自行製作圖示,除 PhotoImpact 7.0 外,可使用軟體有...
   【網站】Toget 軟體下載
       PC home > toget首頁 > 美術繪圖 > 圖示製作
 
【狀況二】要開啟的檔案是網頁,不是一般執行檔時

當主頁為網頁時,由於 html 不是執行檔,所以需於其前另行指定能開啟它之程式。
讓作業系統的檔案總管(Explorer.exe)自行判斷用什麼應用程式去開 html 檔,因每台電腦安裝路徑或作業系統(WINDOWS、WINNT)不盡相同,故不宜指定檔案總管(Explorer.exe)的絕對路徑。

註:"Explorer.exe" 是檔案總管,不是 IE 的 "IEXPLORE.EXE"。
【正確寫法】

[autorun]
open=Explorer.exe index.htm
icon=檔名.ico

註:此處 "index.htm" 僅為舉例
屆時視網頁檔名為何,更改主檔名,以及副檔名究竟為 htm 或 html。

【錯誤寫法】

※不應直接指定 .htm 檔,缺執行檔 .exe
[autorun]
open=index.htm
icon=檔名.ico


※不宜指定檔案總管的絕對路徑(使用者的系統碟未必為 c 或您所寫路徑)
[autorun]
open=C:\Windows\Explorer.exe index.htm
icon=檔名.ico
 
【狀況三】其他檔案格式

其他檔案格式也可以嗎?
原則上都是可以的,只要該台電腦能開的起來。以下以隨身簡報檔為例:
[autorun]
open=explorer.exe 檔名.pps
icon=檔名.ico



[註冊檔手法]
Open=regedit/s Share.reg   //加/s參數是為了導入時不會顯示任何信息


ezcshi 發表在 痞客邦 留言(2) 人氣()